Apportez votre propre appareil au travail : les risques juridiques et de sécurité pour votre entreprise

Que diriez-vous si un régiment d’avocats épluchait tous les courriels que vous avez envoyés et reçus à l’aide de tous les appareils – ordinateurs portatifs et de bureau, téléphones intelligents et tablettes, même personnels – que vous avez utilisés au travail et à la maison pendant une certaine période? S’ils avaient aussi un mandat les autorisant à examiner les courriels échangés à l’aide d’appareils personnels utilisés par votre conjoint(e) et vos enfants? Imaginez les désagréments si la tablette de votre enfant était confisquée…

J’exagère? C’est pourtant arrivé en 2005 dans une affaire de secrets commerciaux* qui nous rappelle, non sans une certaine inquiétude, que les appareils personnels, et les données qu’ils renferment, peuvent même être utilisés en cour.

Que pouvez-vous faire pour que cela n’arrive pas dans votre entreprise? Les appareils mobiles peuvent certes accroître la productivité des employés et leur satisfaction au travail. C’est d’ailleurs pour cette raison que tant de gens utilisent maintenant des appareils personnels au travail. Or, la tendance à apporter son propre appareil soulève divers enjeux juridiques nouveaux et méconnus. Le présent billet porte d’ailleurs sur certaines conséquences juridiques de ce phénomène sur votre entreprise.

Protection des renseignements personnels

Beaucoup d’entreprises prennent des mesures extraordinaires pour protéger leurs données contre les fuites, le piratage, la corruption, le vol ou la perte lorsqu’elles sont enregistrées dans des appareils personnels utilisés dans le cadre d’une politique AVPA (apportez votre propre appareil). Ces mesures comprennent le suivi des déplacements des appareils, la surveillance de leur utilisation et l’effacement automatique des données en cas de perte ou de vol. Certaines entreprises vont même jusqu’à analyser les appareils d’employés qui quittent leur emploi afin de s’assurer qu’ils ne contiennent ni secrets commerciaux ni données confidentielles. Toutefois, comme ces appareils comprennent également des données personnelles, ces pratiques peuvent être assimilées à une intrusion dans la vie privée des employés. Avant d’adopter de telles pratiques, demandez-vous si elles contreviennent aux lois fédérales ou provinciales sur la protection des renseignements personnels.

Afin de réduire les risques à ce chapitre, des avocats vous conseillent d’informer vos employés des modalités d’application de ces mesures de sécurité. Demandez-leur ensuite de signer des formulaires de consentement éclairé vous autorisant à prendre ces mesures. N’essayez pas d’exercer une surveillance excessive et donnez aux employés le droit de révoquer leur consentement en tout temps. Pourquoi? Un tribunal pourrait simplement annuler votre politique AVPA en déclarant soit qu’elle trop inquisitrice, soit que vous avez exercé une pression indue pour obtenir le consentement de l’employé.

La politique AVPA ne suffit pas toujours

Un employé qui utilise un appareil personnel au travail peut contrevenir à la politique de sécurité de l’entreprise ou enfreindre la loi de bien des manières :

– Vol, fuite ou perte de données de l’entreprise

– Atteinte à la vie privée des clients

– Divulgation de secrets commerciaux de l’entreprise et de fournisseurs

– Viol des lois sur le droit d’auteur ou d’ententes d’utilisation sous licence (p. ex. en utilisant des copies non autorisées de logiciels)

– Perpétration d’un crime (p. ex. une fraude ou du harcèlement)

– Dissimulation ou effacement de données demandées par des autorités policières ou judiciaires.

N’allez pas faire l’erreur de croire qu’une politique AVPA peut mettre votre entreprise à l’abri de toute responsabilité à cet égard. Vous pourriez encore assumer une part de responsabilité si vous ne donnez pas une formation adéquate sur la politique AVPA et des outils appropriés à vos employés ou si vous omettez de mettre cette politique à jour et de l’appliquer. Tout comme l’appareil personnel qu’un employé utilise au travail peut comprendre à la fois des données personnelles et commerciales, vous-même et vos employés partagez une responsabilité conjointe à l’égard des politiques AVPA.

Autres enjeux juridiques

Ce ne sont que quelques-uns des nombreux enjeux juridiques que vous devez avoir à l’esprit avant d’adopter une politique AVPA. Nous pouvons en ajouter d’autres :

– Qu’advient-il de l’appareil et des données qu’il renferme à la fin du lien d’emploi?

– À qui et à quoi s’appliquera le contrat d’assurance de l’entreprise en cas de perte, de vol ou de piratage de l’appareil?

– Quelle responsabilité votre entreprise assume-t-elle aux termes de cette assurance? Par exemple, est-elle partiellement responsable en cas d’atteinte à la sécurité des données?

En conclusion

L’utilisation d’appareils personnels au travail évolue encore. Les conséquences juridiques de cette tendance sont encore floues. N’hésitez pas à demander conseil à un avocat bien au courant de cette pratique et agissez dès maintenant pour protéger vos données en cas de difficulté. Essayez d’abord, cependant, de bien protéger la vie privée, les secrets commerciaux et les données personnelles de vos employés, clients, partenaires et fournisseurs.

Votre entreprise a-t-elle déjà éprouvé des problèmes juridiques touchant l’utilisation d’appareils personnels au travail? Qu’avez-vous fait? Faites-nous part de vos idées et de votre expérience dans la section des commentaires ci-dessous.